DOU 21/03/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023032100141
141
Nº 55, terça-feira, 21 de março de 2023
ISSN 1677-7042
Seção 1
XIII - ser submetida a avaliações e revisões periódicas;
XIV - prever a instalação e operação de centro de processamento secundário,
sujeito a um conjunto de riscos diferentes em relação ao centro de processamento
principal, capaz de processar volumes no mínimo iguais ao maior volume verificado nos
últimos 252 (duzentos e cinquenta e dois) dias úteis, acrescido de um percentual de
segurança, e com replicação síncrona de dados do centro de processamento principal;
XV - prever procedimentos de
emergência, no caso de impedimento
simultâneo dos centros de processamento principal e secundário;
XVI - prever testes de continuidade de negócios, no mínimo anuais, que:
a) contemplem cenários contendo eventos que possam acarretar a interrupção
das atividades críticas e a perda ou inacessibilidade da equipe responsável por essas
atividades;
b) tenham seus resultados documentados, incluindo a descrição de eventuais
providências a serem adotadas para melhoria dos procedimentos;
c) tenham seus resultados avaliados por equipe independente e levados ao
conhecimento dos administradores;
d) incluam a participação de terceiros responsáveis pela prestação de serviços
críticos e participantes do mercado; e
e)
sejam
realizados
preferencialmente
em
condições
normais
de
funcionamento da IOSMF; e
XVII - assegurar a confiabilidade e tempestividade das informações divulgadas
à equipe da entidade operadora, aos participantes, ao Banco Central do Brasil e, quando
couber, a outros provedores de serviços financeiros e à imprensa.
§ 2º A estrutura de que trata o caput deve ser avaliada pela auditoria interna
e pelos auditores independentes.
Art. 79. As alterações planejadas pela IOSMF que venham a afetar de maneira
relevante a gestão da continuidade de negócios devem ser comunicadas ao Banco Central
do Brasil com 30 (trinta) dias de antecedência.
Art. 80. A gestão de continuidade de negócios deve ser operacionalizada por
profissionais de reconhecida competência técnica na matéria, aptos a desempenhar de
maneira adequada suas responsabilidades.
Seção VI
Da Infraestrutura Tecnológica e da Gestão de Serviços de Tecnologia da
Informação
Art. 81. As IOSMF devem estruturar gestão dos serviços de tecnologia da
informação compatível com sua natureza, porte, complexidade, estrutura e perfil de
risco.
Parágrafo único. A estrutura de que trata o caput deve:
I - estar amparada na política, nos princípios e nas melhores práticas da gestão
dos serviços de tecnologia da informação, de forma a garantir a adequada gestão de
disponibilidade,
capacidade,
desempenho,
incidentes,
problemas,
mudanças
e
fornecedores, entre outros;
II - definir de forma clara e objetiva as responsabilidades das partes envolvidas,
inclusive quando terceirizadas;
III - ser robusta e adequada para garantir o provimento de serviços, tanto em
circunstâncias normais quanto em períodos de volumes crescentes de estresse e atingir
seus objetivos em termos de nível de serviço;
IV - ser robusta e adequada às necessidades do modelo de negócio e
apropriada para absorver eventuais mudanças desse modelo; e
V - ser submetida a avaliações e revisões periódicas.
Seção VII
Da Segurança da Informação e Cibernética
Art. 82. As IOSMF devem estruturar gestão e infraestrutura de segurança da
informação e cibernética compatíveis com sua natureza, porte, complexidade, estrutura,
perfil de risco e sensibilidade dos dados e das informações sob sua responsabilidade.
§ 1º A estrutura de que trata o caput deve:
I - estar amparada na política, nos princípios e nas melhores práticas
relacionadas à segurança da informação e cibernética, preservando a confidencialidade, a
integridade e a disponibilidade dos dados e dos sistemas;
II - abranger não apenas aspectos tecnológicos, mas também processos e
pessoas;
III - definir de forma clara e objetiva as responsabilidades das partes
envolvidas, inclusive quando terceirizadas;
IV - prever adequados níveis de sua governança, garantindo, inclusive, a
adequada estrutura de incentivos para as diversas partes interessadas;
V - prever mecanismos para a proteção da confiabilidade, da integridade e da
disponibilidade de seus dados e ativos, inibindo, de forma ampla, a intrusão e o
vazamento dos dados e das informações;
VI - prever mecanismos para a detecção antecipada de anomalias e eventos de
risco potencial;
VII - estar devidamente integrada com a estrutura de gestão de incidentes e a
de continuidade de negócios, de forma a permitir uma pronta e adequada resposta e
recuperação;
VIII - ser submetida a avaliações e revisões periódicas;
IX - prever programa de testes regulares nos sistemas de segurança da
informação e cibernética compatíveis e de acordo com as melhores práticas vigentes;
X - considerar o segmento de atuação ao qual a IOSMF pertença e contemplar,
entre outros, os advindos de outras IOSMF, de provedores de serviços e insumos, ainda
que no mesmo conglomerado, de participantes, e os riscos que suas operações possam
representar para outras IOSMF;
XI - prever mecanismos de compartilhamento de informações sobre os
incidentes relevantes por canais seguros com o segmento de atuação e, ainda, de
divulgação responsável dos eventos ocorridos; e
XII - prever, diante da constante evolução e mutabilidade do setor, mecanismos
que garantam o constante aprendizado e a contínua adaptação e evolução da estrutura.
§ 2º A estrutura de que trata o § 1º deve ser própria.
§ 3º A estrutura de que trata o caput deve ser avaliada pela auditoria interna
e pelos auditores independentes.
§ 4º O compartilhamento de que trata o inciso XI do § 1º deve abranger
informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a
terceiros.
§ 5º As informações compartilhadas, nos termos do disposto no inciso XI do §
1º, devem estar disponíveis para o Banco Central do Brasil.
Art. 83. O órgão responsável pela gestão da segurança da informação e
cibernética da IOSMF deve ser próprio.
§ 1º Ao órgão responsável pela gestão da segurança da informação e
cibernética deve ser assegurada a devida independência, de forma a garantir uma gestão
efetiva.
§ 2º Os responsáveis pela gestão da segurança da informação e cibernética
devem ser profissionais de reconhecida competência técnica na matéria, aptos a
desempenhar de maneira adequada suas responsabilidades.
Art. 84. As IOSMF devem estabelecer plano diretor de segurança da informação
visando à implementação da política de segurança da informação e cibernética.
Parágrafo único. O plano mencionado no caput deve abranger, no mínimo:
I - as ações a serem desenvolvidas pela IOSMF para adequar suas estruturas
organizacional e operacional aos princípios e às diretrizes da política de segurança da
informação e cibernética;
II - as rotinas, os procedimentos, os controles e as tecnologias a serem
utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da
política de segurança da informação e cibernética; e
III - o tratamento das potenciais vulnerabilidades e ameaças, inclusive quanto
à segurança física.
Art. 85. As IOSMF devem estabelecer plano de resposta a incidentes
objetivando o adequado gerenciamento de incidentes que possam impactar sua
operação.
§
1º
O
plano
mencionado
no
caput
deve
estabelecer
papéis
e
responsabilidades relativos ao gerenciamento de incidentes, incluindo atividades tais
como:
I - identificação e registro de incidentes relevantes;
II
-
classificação e
priorização
de
incidentes
de acordo
com
critérios
previamente estabelecidos;
III - execução de procedimentos de resposta e recuperação objetivando mitigar
os efeitos dos incidentes sobre a operação da IOSMF;
IV - implementação de planos de comunicação, tanto para o público interno
quanto externo; e
V - identificação de lições aprendidas para o aprimoramento do gerenciamento
de incidentes.
§ 2º O plano mencionado no caput deve ser periodicamente testado e
revisado.
Art. 86. As IOSMF devem designar diretor, definido em estatuto ou contrato
social, responsável pela política de segurança da informação e cibernética e pela execução
do plano diretor de segurança da informação.
Parágrafo único. O diretor mencionado no caput pode desempenhar outras
funções na entidade, desde que não haja conflito de interesses.
Art. 87. As IOSMF devem elaborar relatório anual sobre a implementação do
plano diretor de segurança da informação de que trata o art. 84, com data-base de 31 de
dezembro.
§ 1º O relatório de que trata o caput deve abordar, no mínimo:
I - a efetividade da implementação das ações descritas no inciso I do parágrafo
único do art. 84;
II - o resumo dos resultados obtidos na implementação das rotinas, dos
procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na
resposta a incidentes descritos inciso II do parágrafo único do art. 84;
III - o tratamento das potenciais vulnerabilidades e ameaças, inclusive quanto
à segurança física, descrito no inciso III do parágrafo único do art. 84;
IV - os incidentes relevantes ocorridos no período, com destaque para os
relacionados com o ambiente cibernético; e
V - os resultados dos testes de continuidade dos serviços prestados,
considerando cenários de indisponibilidade ocasionada por incidentes.
§ 2º O relatório mencionado no caput deve ser apresentado ao conselho de
administração e, se inexistente, à diretoria prevista em estatuto ou contrato social, até 31
de março do ano seguinte ao da data-base.
§ 3º O relatório mencionado no caput deve estar à disposição do Banco Central
do Brasil pelo prazo mínimo de 5 (cinco) anos contados de sua emissão.
Art. 88. O plano diretor de segurança da informação mencionado no art. 84
deve:
I - ser aprovado pelo conselho de administração da IOSMF ou, se inexistente,
pela diretoria prevista em estatuto ou contrato social;
II - ser revisado, no mínimo, anualmente; e
III - estar à disposição do Banco Central do Brasil pelo prazo mínimo de 5
(cinco) anos contados de sua revogação.
CAPÍTULO VII
DA EFICIÊNCIA E DA EFETIVIDADE
Art. 89. As IOSMF devem estruturar-se de modo a entregar com eficiência e
efetividade os produtos e serviços ofertados, em especial as sistemáticas de liquidação,
depósito centralizado e registro, bem como o suporte tecnológico utilizado, aos seus
participantes e ao mercado em que atuam.
Parágrafo único. A instituição deve estruturar gestão para o acompanhamento
contínuo da eficiência e da efetividade entregues, sendo estabelecidos objetivos e métricas
para essa finalidade.
CAPÍTULO VIII
DOS PROCEDIMENTOS E PADRÕES DE COMUNICAÇÃO
Art. 90. As IOSMF devem utilizar ou, no mínimo, acomodar procedimentos e
padrões de comunicação relevantes, internacionalmente aceitos.
CAPÍTULO IX
DA DIVULGAÇÃO DE REGRAS, DE
PROCEDIMENTOS E DE DADOS DE
MERCADO
Art. 91. As IOSMF devem fornecer aos participantes, de forma clara e objetiva,
todas as informações necessárias para que esses possam identificar os riscos e os custos
aos quais estão submetidos.
§ 1º As informações de que trata o caput devem ser abrangentes e relacionar-
se tanto à IOSMF quanto aos SMF por ela operados, permitindo a completa percepção do
participante quanto às suas obrigações e quanto às obrigações da instituição.
§ 2º O fornecimento de informações de que trata o caput deve contemplar
treinamentos que aumentem a percepção do participante com relação ao seu escopo de
participação.
§ 3º Alterações nas informações de que trata o caput devem ser informadas
previamente aos participantes para que possam opinar e gerir seu risco da melhor maneira
possível.
§ 4º As tarifas praticadas devem ser divulgadas publicamente no nível dos
serviços individuais oferecidos, bem como as políticas de desconto disponíveis.
§ 5º Os serviços oferecidos devem ter descrição clara e que possibilite a
comparação com serviços providos por instituições similares.
Art. 92. As IOSMF devem publicar periodicamente autoavaliação de aderência
aos Princípios para Infraestruturas do Mercado Financeiro (Principles for Financial Market
Infrastructures - PFMI) aplicáveis às atividades exercidas por meio dos SMF por elas
operados, de acordo com padrão originalmente publicado pelo Comitê de Sistemas de
Liquidação e Pagamentos do Banco de Compensações Internacionais (CPSS/BIS) e pelo
Conselho da Organização Internacional de Comissões de Valores (IOSCO Board).
Art. 93. As IOSMF devem periodicamente publicar, no mínimo, dados sobre
ativos registrados e depositados e sobre volumes e valores das operações cursadas nos
SMF, quando aplicável.
TÍTULO V
DOS SISTEMAS DO MERCADO FINANCEIRO
CAPÍTULO I
DOS ASPECTOS GERAIS
Art. 94. O índice de disponibilidade dos SMF deve ser de, no mínimo, 99,8%
(noventa e nove inteiros e oito décimos por cento).
Art. 95. O ponto de recuperação objetivado pelos SMF deve ser igual a 0 (zero),
de forma a preservar a totalidade dos dados.
Art. 96. O tempo de recuperação objetivado pelos SMF deve ser de, no
máximo:
I - 30 (trinta) minutos, para sistema de liquidação bruta em tempo real; ou
II - 2 (duas) horas, para outros tipos de SMF.
Art. 97. Nos SMF, as operações devem ser confirmadas no dia em que foram
transmitidas.
Parágrafo único. Admite-se que as operações sejam confirmadas no dia útil
seguinte ao que foram transmitidas nas seguintes hipóteses:
I - acionamento do plano de continuidade de negócios; e
II - operações não liquidadas por contraparte central e transmitidas após às 18
(dezoito) horas.
Art. 98. Os SMF devem possibilitar a liquidação, no dia do respectivo
vencimento, das obrigações principais e acessórias dos emissores de ativos financeiros e
valores mobiliários, bem como das obrigações contratuais neles cursadas.
Parágrafo único. O disposto no caput não se aplica a sistemas de registro.
Art. 99. Os SMF devem manter armazenadas as informações relativas às
operações, movimentações e registros realizados em seus sistemas, de modo a permitir
sua rastreabilidade.
CAPÍTULO II
DO REGULAMENTO DO SISTEMA DO MERCADO FINANCEIRO
Art. 100. Todos os aspectos relacionados neste Capítulo são considerados parte
integrante do regulamento do SMF, independentemente de estarem ou não contidos em
um único documento e na nomenclatura atribuída aos documentos em que estão
contidos.
§ 1º Caso os aspectos relacionados neste Capítulo estejam contidos em
diversos documentos, a relação entre os comandos deve ser clara e coesa, com indicação,
ainda, de qual documento deve prevalecer em caso de ambiguidade.
Fechar